Sa Python package directory PyPI (Python Package Index) malisyoso nga mga pakete""Ug"", nga gi-upload sa usa ka awtor nga si olgired2017 ug nagtakuban isip popular nga mga pakete ""Ug"" (gilahi pinaagi sa paggamit sa simbolo nga "I" (i) imbes nga "l" (L) sa ngalan). Human ma-install ang gipiho nga mga pakete, ang mga yawe sa pag-encrypt ug kompidensyal nga datos sa tiggamit nga nakit-an sa sistema gipadala sa server sa tig-atake. Ang mga problema nga mga pakete gitangtang na gikan sa direktoryo sa PyPI.
Ang malisyoso nga code mismo naa sa package nga "jeIlyfish", ug gigamit kini sa package nga "python3-dateutil" ingon usa ka dependency.
Ang mga ngalan gipili base sa walay pagtagad nga tiggamit nga naghimo og typo sa dihang nangita (). Ang malisyosong pakete nga "jeIlyfish" gi-download mga usa ka tuig na ang milabay, kaniadtong Disyembre 11, 2018, ug nagpabilin nga wala mahibal-an. Ang pakete nga "python3-dateutil" gi-upload kaniadtong Nobyembre 29, 2019 ug pipila ka adlaw ang milabay nakapukaw sa pagduda sa usa sa mga nag-develop. Ang kasayuran sa gidaghanon sa mga pag-install sa mga malisyosong pakete wala gihatag.
Ang jellyfish package naglakip sa code nga nag-download sa usa ka lista sa "hashes" gikan sa usa ka eksternal nga GitLab-based repository. Ang pag-analisar sa lohika alang sa pagtrabaho uban niining mga "hashes" nagpakita nga kini adunay usa ka script nga gi-encode gamit ang base64 function ug gilunsad human sa pag-decode. Ang script nakit-an ang SSH ug GPG nga mga yawe sa sistema, ingon man ang pipila ka mga matang sa mga file gikan sa direktoryo sa balay ug mga kredensyal alang sa mga proyekto sa PyCharm, ug dayon gipadala kini sa usa ka eksternal nga server nga nagdagan sa imprastraktura sa panganod sa DigitalOcean.
Source: opennet.ru